Recursos corporativos

Anuncio
Detección y reacción ante el uso irregular de
Recursos Corporativos
Henry Velásquez
Yanez
Detección y reacción ante el uso irregular de Recursos
Corporativos
Consideraciones Previas:
Principios de Proporcionalidad.
Implantación de Controles y
Monitorización.
Controles y Monitorización:
Objetivos.
Detección y dimensionamiento
del uso indebido: Medios de
Producción, redes sociales
corporativas, BYOD.
Uso Responsable: BYOD.
Casos más comunes de usos
indebidos y su tratamiento y
gestión.
Riesgos.
Posturas oficiales.
Cambio Jurisprudencial.
Evidencias Electrónicas.
Consideraciones Previas
PRINCIPIOS LOPD
Proporcionalidad (art 4 LOPD).
•
Información (art 5 LOPD).
•
Consentimiento (art. 6 LOPD).
•
Medidas de Seguridad (art. 9
LOPD).
•
Deber de Secreto (art. 10
LOPD).
•
Implantación de Controles y Monitorización
Controles
preventivos.
•
Controles correctivos.
•
Monitorización.
•
Controles y Monitorización: Objetivos
Evitar fugas de información confidencial.
•
Evaluación del rendimiento y desempeño laboral.
•
Evaluación del cumplimiento de políticas y normativa aplicable
•
Registro de las actividades como la prueba de la conducta personal
impropia (evidencia electrónica).
•
Control de calidad durante la prestación de servicios de atención al
cliente.
•
Revisión de las habilidades y competencias del personal empleados
en su trabajo.
•
Revisión del cumplimiento de las normas de salud y seguridad.
•
Detección de conductas irregulares, ilícitas, etc.
•
Controles y Monitorización: Medios de Producción.
Control de accesos (log in/log out).
•
Control sobre navegación en Internet.
•
Monitorización de los programas utilizados en el ordenador por parte del
empleado.
•
Log de trazabilidad de acciones efectuadas por el usuario.
•
Copia de la información enviada a través de los servicios que hayamos
configurado, normalmente e-mail, Chat y mensajería instantánea.
•
Supervisar el rendimiento del personal
•
Aplicaciones de monitor en marcha
•
Monitorización de archivos descargados del personal.
•
Monitorización de archivos copiados en medios extraíbles (USB, MMC,
etc.).
•
Monitor de pulsaciones de teclado mecanografiado.
•
Control de actividad en casos de tele-trabajo.
•
Visualización de pantallas de cada ordenador con el fin de ver que
información está mostrando cada cierto tiempo.
•
Evaluación del desempeño laboral.
•
Controles y Monitorización: Redes Sociales Corporativas.
Mecanismos de control, que permiten disminuir el riesgo de que se incluyan mensajes o comentarios que pudieran
considerarse infracciones normativas, dentro de las zonas públicas de la Red Social, en el supuesto de redes sociales
corporativas-abiertas.
(i) Prohibición de iniciar “Temas de discusión” o “Debates” que pudieran constituir cualquier
tipo de infracción normativa;
(ii) Prohibición de publicar contenidos (noticias, eventos, anuncios en tablón), que pudieran
suponer una infracción normativa;
(iii) Informar al usuario sobre su responsabilidad en cuanto a legalidad y licitud de los
contenidos, imágenes, comentarios, datos personales de terceros, incorporados por éste a
la red social corporativa.
(iv) Utilizar los mecanismos de denuncia, puestos a su disposición, en caso de advertir
cualquier comportamiento anómalo, irregular o que pudiera contravenir lo dispuesto en la
normativa aplicable y los Términos y Condiciones de Uso”.
(v) Convendría activar mecanismos de control tales como: aplicaciones informáticas para filtrar
contenidos, aplicaciones anti-spam y mecanismos de denuncia, a fin de detectar mensajes
o comentarios irregulares emitidos en las zonas públicas;
(vi) Ejecutar acciones de revisión periódica, proactiva y de monitorización sobre los contenidos
y/o comentarios emitidos en las zonas públicas de la red social corporativa.
(vii) Ejecutar acciones para mitigar el impacto de incidentes detectados que pudieran suponer
alguna infracción normativa.
(viii)Supresión de contenidos infractores, suspensión o bloqueo de usuarios falsos.
Controles y Monitorización: BYOD.
La problemática: Implantación de controles en dispositivos de uso personal del
empleado que incorporan información corporativa.
(i) Información sensible perteneciente a la empresa, fuera de los límites
de control habituales, en dispositivos de uso corporativo y personal.
(ii) Convivencia de múltiples plataformas: soporte especializado para
cada una de ellas, herramientas específicas que se adapten a las
distintas tecnologías.
(iii)Necesidad de personal de soporte formado en dispositivos cada vez
más avanzados.
(iv)Entorno
cambiante
rápidamente:
nuevas
aplicaciones
y
funcionalidades.
Cómo extrapolar las políticas de seguridad a dispositivos móviles.
(v)Cómo controlar el uso y acceso de los dispositivos.
Uso Responsable: BYOD (i).
RECOMENDACIONES PREVIAS:
Ø Establecer procedimientos de control y protección lógica del acceso y conexión a
los sistemas de información corporativos, así como a los mecanismos de
autenticación/identificación de los usuarios, implementados para controlar el acceso
a tales sistemas, por parte de los empleados/colaboradores, a través de sus
dispositivos personales.
Ø Implementar mecanismos que proporcionen control, seguridad y permitan el
cifrado de las comunicaciones, a fin de facilitar la conectividad del dispositivo desde
lugares externos a los sistemas de información corporativa, así como la
implantación de protocolos de comunicaciones seguros impidan la interceptación de
comunicaciones y/o el robo de credenciales.
Ø Establecer procedimientos de protección lógica de la información que se
almacena en el dispositivo de uso personal, por ejemplo, a través de mecanismos
criptográficos que permitan garantizar que, ante posibles pérdidas de información o
robo del dispositivo, no habrá fugas de información.
Uso Responsable: BYOD (ii).
RECOMENDACIONES PREVIAS:
Ø Establecer procedimientos adecuados para la gestión de posibles incidencias.
ØConfigurar sistemas de monitorización basados en la detección de anomalías,
tanto a nivel de conexiones y accesos a los sistemas de información, como en el
uso y tratamiento de la información corporativa, teniendo especial precaución de
no interferir en el uso particular del dispositivo por parte del empleado y por tanto
poner en riesgo su intimidad.
ØSeleccionar soluciones tecnológicas complementarias que contribuyan a
reforzar la integración segura entre los sistemas de información corporativos y el
dispositivo de uso personal del empleado/colaborador (por ejemplo, Mobile Device
Management, Firewall, Antimalware/Antivirus, DLP, Filtrado de contenido web,
VPN, Autenticación de doble factor).
Uso Responsable: BYOD (iii).
Medidas de Seguridad RLOPD: En la medida en que la información corporativa integrada
en los dispositivos de uso personal, pueda incorporar datos de carácter personal, deberán aplicarse
las medidas de seguridad contempladas en el RLOPD, de acuerdo con el nivel de seguridad
asignado a los datos objeto del tratamiento.
A tal efecto, a continuación se detallan las medidas de seguridad que podrían resultar de aplicación al
supuesto planteado:
Ø
Régimen de trabajo fuera de los locales del
responsable del fichero o encargado del tratamiento
(Art. 86 RLOPD
Ø
Funciones y obligaciones del personal. (Art. 89
RLOPD).
Ø
Registro de incidencias (Art. 90 RLOPD).
Ø
Control de acceso (Art.91 RLOPD).
Ø
Gestión de soportes (Art. 92 RLOPD).
Ø
Identificación y autenticación (Arts. 93 y 98 RLOPD).
Ø
Copias de respaldo y recuperación (Art. 94 RLOPD).
Ø
Registro de accesos (Art. 103 RLOP).
Ø
Telecomunicaciones (Art. 104 RLOPD).
Uso Responsable: BYOD (iv).
Soluciones Tecnológicas: Capacidad de gestionar y dar soporte a aplicaciones móviles,
datos y sistema operativo
q
q
q
q
q
q
q
q
q
q
Configuración
Actualizaciones
Parches
Respaldo
Aprovisionamiento
Monitorización SW
Hosting
Gestión de Plataformas Móbiles (MEAPs)
Desarrollo
Sincronización en segundo plano
Uso Responsable: BYOD (v).
Gestión de la Seguridad: Implantación de medidas de seguridad sobre el dispositivo, así
como autenticación y encriptación
q
q
q
q
q
q
q
q
q
Borrado remoto
Bloqueo remoto
Configuración Segura
Obligación de uso de credenciales
Encriptación
Autenticación
Antivirus
VPN Móvil
Firewall
Uso Responsable BYOD: Metodología.
Casos Comunes de Usos Indebidos
Vulneración de la confidencialidad y
seguridad de la información.
•
Revelación
indebida
de
secretos
empresariales.
•
Acceso a Páginas Web que pudieran
comprometer
la
seguridad
de
la
información.
•
Tratamiento excesivo y/o acceso indebido a
información clasificada y/o a datos de
carácter personal.
•
Utilización de aplicaciones que permitan el
intercambio de archivos sin el control
adecuado.
•
Uso de correo electrónico sin las diligencias
debidas.
•
Uso
inapropiado
de
mensajería
instantánea.
•
Malware en red corporativa.
•
Uso indebido de los recursos corporativos
para actividades ilícitas o que pudieran
vulnerar la normativa aplicable.
•
Etc.
•
RIESGOS (I)
Pérdidas Económicas Directas
RIESGOS (II)
Pérdidas de imagen o valor de marca, reputación
RIESGOS (III)
Pérdida de Información Corporativa, propiedad intelectual
o industrial
RIESGOS (IV)
La implantación de mecanismos de control
podrían conllevar una serie de riesgos derivados de
la vulneración de los derechos fundamentales de los
trabajadores.
Denuncia del trabajador por descubrimiento y
revelación de secretos (Art. 197 y siguientes del
Código Penal)
ü
En caso de que se haya sancionado o despedido al
empleado: despido nulo por
vulneración de los
derechos fundamentales.
ü
Denuncia del empleado por tratamiento ilegítimo de
sus datos (Ley Orgánica de Protección de Datos).
ü
Posturas Oficiales (i).
TSJ Cataluña (Sala de lo Social) Sentencia 31 de julio de 2003.
DESPIDO PROCEDENTE. Faltas reiteradas de puntualidad y uso indebido de internet durante la jornada. Se
acreditan las faltas reiteradas de puntualidad que tras un cambio de dirección de la empresa deja de permitir
incorporarse una hora más tarde al trabajo. Trabajadora a la que se le advirtió de cumplir con el horario que desde el
inicio se había pactado. Por el contrario en cuanto al uso indebido de internet, que también le imputa la empresa, no
se observa gravedad en la conducta, primero porque la empresa había proporcionado a la trabajadora un ordenador
con acceso a internet sin haberle dado instrucciones expresas sobre su utilización, y segundo porque, pese a la
espectacularidad de la carta al consignar gran número de páginas web visitadas, no consta ni el tiempo invertido en
cada consulta ni que todas las consultas fueran para cuestiones ajenas a la actividad laboral.
TSJ Castilla y León de Valladolid (Sala de lo Social) Sentencia 8 de noviembre de 2004.
DESPIDO PROCEDENTE. Trabajador que usa del ordenador de la empresa los días laborales durante un tiempo
excesivo para a las páginas deportivas, prensa ordinaria, juegos y páginas musicales con descarga de archivos de
internet. Uso particular de un instrumento de trabajo para fines distintos de los que son propios de su actividad laboral
de forma desmedida y sin autorización alguna por parte de la empleadora. Abandono de sus funciones durante el
tiempo de trabajo.
9. TSJ Cataluña (Sala de lo Social) Sentencia 6 de mayo de 2005.
DESPIDOS PROCEDENTES. Incumplimiento grave y culpable. Trabajadores que se sirvieron de internet, tanto para
mantener varias páginas abiertas, como para intervenir en un chat durante tres jornadas de trabajo consecutivas.
Empresa dedicada a la atención telefónica e informática que tenía establecida la prohibición de hacer uso privado de
internet. Prohibición recogida en un aviso expuesto en el centro, que venía notificándose a cada trabajador desde
hacía dos años y además todos los trabajadores la venían respetando.
Posturas Oficiales (ii).
TS (Sala 4.ª) Sentencia 28 de junio de 2006.
DESPIDO IMPROCEDENTE. Uso de internet en el trabajo para fines personales. Falta de prohibición específica
por parte del empleador. Ámbito privado y particular del trabajador y vulneración de su derecho a la intimidad.
RECURSO DE CASACIÓN PARA LA UNIFICACIÓN DE DOCTRINA. Falta de identidad sustancial entre los
hechos de las sentencias comparadas. La sentencia recurrida trata de un trabajador que utilizó el acceso a
internet y el correo electrónico de la empresa para fines privados, entre ellos la consulta de páginas pornográficas
o la participación en chats, entendiéndose que estaba autorizado por la empresa, por lo que la investigación
practicada incidía en el derecho a la intimidad, siendo ilícita la prueba practicada. En la referencial la causa de la
decisión que estimó el despido procedente fue la transgresión de la buena fe contractual y el abuso de confianza
que suponía el tiempo dedicado a la navegación por internet ajena al trabajo, superior a hora y media diaria.
TSJ Madrid (Sala de lo Social) Sentencia 10 de octubre de 2006.
DESPIDO DISCIPLINARIO. Improcedencia. Trabajador despedido por visitar en la red páginas ajenas al trabajo.
Inexistencia de norma interna de la empresa que prohíba el uso privado de internet. No constituye falta muy grave
sancionable con el despido al no quedar acreditado el perjuicio sufrido por la empresa. DESPIDO NULO. No
procede. La voluntad extintiva por la comisión de los hechos sancionables se manifiesta como razonablemente
ajena a todo móvil atentatorio de derechos fundamentales.
El TSJ Madrid estima el recurso de suplicación interpuesto por el trabajador contra la sentencia de instancia que
calificaba el despido disciplinario como procedente.
TSJ País Vasco (Sala de lo Social) Sentencia 23 de enero de 2007.
DESPIDO PROCEDENTE. TRANSGRESIÓN DE LA BUENA FE CONTRACTUAL. Auxiliar administrativa que
utilizaba el ordenador de la empresa para actividades lúdicas y ajenas al trabajo, estando gran parte de la
memoria del ordenador ocupada por programas ajenos al trabajo. DERECHO A LA INTIMIDAD. No se vulnera el
derecho a la intimidad y dignidad del trabajador por la inspección del ordenador que se realizó con todas las
garantías, en presencia de un delegado de los trabajadores y otros dos trabajadores.
Posturas Oficiales (iii).
TS (Sala 4.ª) Sentencia 26 de septiembre de 2007.
DERECHO A LA INTIMIDAD. Vulneración. Despido de trabajador al que, al reparar su ordenador por un virus, se le
encuentran archivos temporales de páginas pornográficas visitadas en internet. Determinación de los límites del control
empresarial sobre un ámbito que, aunque vinculado al trabajo, pueda afectar a la intimidad del trabajador. El control del
uso del ordenador facilitado al trabajador por el empresario no se regula por el artículo 18 sino por el artículo 20.3 del
Estatuto de los Trabajadores. Actuación empresarial que en lugar de limitarse al control y eliminación del virus siguió con el
examen del ordenador. Inexistencia de información a los trabajadores de prohibiciones absolutas o parciales en el uso del
ordenador
TS (Sala 4.ª) Sentencia 6 de Octubre de 2011.
Se produce un despido disciplinario por contravenir la trabajadora una prohibición expresa del empresario de usar los
ordenadores para fines propios, tanto dentro como fuera del horario de trabajo. Lo decisivo a efectos de considerar la
vulneración del derecho a la intimidad es la tolerancia de la empresa que crea una "expectativa de confidencialidad" y, por
ende, la posibilidad de un exceso en el control llevado a cabo por el empleador que vulnere el derecho fundamental de la
intimidad del trabajador. Pero si hay prohibición de uso personal deja de haber tolerancia y ya no existirá esa expectativa,
con independencia de la información que la empresa haya podido proporcionar sobre el control y su alcance.
Esfera Personal en el Ámbito Laboral
Cambio jurisprudencial:
Ordenador equiparado a
taquilla y efectos
personales del trabajador (Art. 18 ET)
STS, de 26 de septiembre
de 2007
Los recursos electrónicos que el empleador pone a
disposición del trabajador son propiedad de la
empresa . Ésta los facilita para utilizarlos en el
cumplimiento de la prestación laboral, por lo que
esa utilización queda dentro del ámbito del poder
de vigilancia del empresario (art. 20.3 ET)
Esfera Personal en el Ámbito Laboral
CONSECUENCIAS DEL CAMBIO JURISPRUDENCIAL:
ü
ü
ü
ü
El trabajador no tiene que estar presente ni tiene que
ser notificado en el momento en el que se vaya a
realizar un control de los recursos electrónicos. (STS
de 6 de octubre de 2011)
No resulta necesaria la presencia física de
representantes legales o de testigos.
No es necesario que se lleve a cabo en el centro de
trabajo ni dentro del horario laboral.
Implantación de normas concretas de uso
de los recursos electrónicos corporativos
indicando la posibilidad de controlar y de los
medios de control que adoptará para las oportunas
comprobaciones que en su caso realice.
Acciones ante Uso Indebido
Sanciones
Disciplinarias
(art. 58 ET)
Despido
Disciplinario
(art. 54 ET)
- Tipicidad de las sanciones
- Graduación y Proporcionalidad
- Posibilidad de recurrir las sanciones
impuestas
- Incumplimiento contractual.
- Incumplimiento grave.
- Incumplimiento culpable.
CAUSA: La transgresión de la buena
fe contractual, así como el abuso de
confianza en el desempeño del trabajo
Evidencias Electrónicas (i)
OBJETO: Su utilización como prueba válida en los
procedimientos judiciales.
ü
ü
ü
ü
ü
Realización de una imagen forense (completa e
inalterable)
Realización por un experto independiente (p.e Perito
Informático).
Supervisión del procedimiento por un testigo (p.e
Notario)
Documentar todo el proceso de obtención de
evidencias y de la cadena de custodia.
Análisis forense no intrusivo para respetar la intimidad
de los afectados (búsquedas ciegas).
Evidencias Electrónicas (ii)
•Fotografías del ordenador portátil,
identificando marca/modelo/serie/etc.
•Fotografía del disco duro interno
extraído del portátil identificando
marca/modelo/serie/etc.
•Fotografía de Disco duro virgen
utilizado para la clonación, identificando
sus características.
Evidencias Electrónicas (iii)
Fotografías del dispositivo de
clonación
íntegra,
identificando
marca/modelo/serie/etc.
•
Fotografía
del
dispositivo
de
clonación en cuya pantalla se
comprueba la finalización del
procedimiento mediante el mensaje
“Compare OK: 1”, que indica que el
proceso de copiado integral se ha
completado sin problemas; así como
los mensajes “Fail: 0” y “Diff: 0”, que
indican que la clonación se ha
realizado
sin
errores
ni
irregularidades.
•
Uso Responsable de Recursos Corporativos
Muchas gracias
¿Alguna pregunta?
[email protected]
C/Quintanavides, 19. Edificio 4.Planta ·E.
28050
(+34) 91 001 67 67
@Ecixgroup
Descargar